Beranda>Terkait pemrograman>Kode sumber lainnya
Unduh

Konfigurasikan Kredensial AWS untuk Tindakan GitHub

Konfigurasikan kredensial AWS Anda dan variabel lingkungan wilayah untuk digunakan dalam tindakan GitHub lainnya.

Tindakan ini mengimplementasikan rantai resolusi kredensial AWS JavaScript SDK dan variabel lingkungan sesi ekspor untuk tindakan Anda yang lain untuk digunakan. Ekspor variabel lingkungan terdeteksi oleh AWS SDK dan AWS CLI untuk panggilan API AWS.

Ringkasan

Panggilan API ke AWS perlu ditandatangani dengan informasi kredensial, jadi ketika Anda menggunakan salah satu SDK AWS atau alat AWS, Anda harus menyediakannya dengan kredensial AWS dan wilayah AWS. Salah satu cara untuk melakukan itu dalam tindakan GitHub adalah dengan menggunakan rahasia repositori dengan kredensial IAM, tetapi ini tidak mengikuti pedoman keamanan AWS tentang penggunaan kredensial jangka panjang. Sebagai gantinya, kami menyarankan Anda menggunakan kredensial jangka panjang atau JWT untuk mengambil kredensial sementara, dan menggunakannya dengan alat Anda sebagai gantinya. Tindakan GitHub ini memfasilitasi hal itu.

AWS SDK dan alat mencari kredensial Anda dalam variabel lingkungan standar. Intinya, tindakan ini berjalan melalui aliran resolusi kredensial standar, dan pada akhirnya, mengekspor variabel lingkungan untuk Anda gunakan nanti.

Kami mendukung lima metode untuk mengambil kredensial dari AWS, tetapi kami sarankan Anda menggunakan penyedia OIDC GitHub bersama dengan titik akhir penyedia identitas AWS IAM yang dikonfigurasi.

Untuk informasi lebih lanjut tentang cara melakukannya, baca terus.

Perhatikan tentang ghes

Beberapa dokumentasi ini mungkin tidak akurat jika Anda menggunakan GHES (Github Enterprise Server), harap perhatikan untuk meninjau dokumentasi GitHub bila relevan.

Misalnya, URL yang dikeluarkan oleh OIDC JWT berbeda dari token.actions.githubusercontent.com yang biasa, dan akan unik untuk server perusahaan Anda. Akibatnya, Anda perlu mengonfigurasi ini secara berbeda ketika Anda membuat penyedia identitas.

Kami saat ini tidak memiliki lingkungan pengujian GHES untuk memvalidasi tindakan ini. Jika Anda menjalankan GHES dan menemukan masalah, beri tahu kami.

Rekomendasi Keamanan

Kami merekomendasikan mengikuti praktik terbaik Amazon IAM untuk kredensial AWS yang digunakan dalam alur kerja tindakan gitub, termasuk:

  • Jangan menyimpan kredensial dalam kode repositori Anda.
  • Berikan hak istimewa paling tidak pada kredensial yang digunakan dalam alur kerja tindakan GitHub. Hibah hanya izin yang diperlukan untuk melakukan tindakan dalam alur kerja tindakan GitHub Anda. Jangan menganggap peran yang terlalu permisif, bahkan untuk pengujian.
  • Pantau aktivitas kredensial yang digunakan dalam alur kerja tindakan GitHub.
  • Gunakan kredensial sementara jika memungkinkan.
  • Putar secara berkala kredensial jangka panjang yang Anda gunakan.

Menggunakan tindakan ini

Ada lima cara yang didukung berbeda untuk mengambil kredensial:

  • Menggunakan Penyedia OIDC GitHub ( AssumeRoleWithWebIdentity )
  • Melanjutkan sebagai pengguna IAM (tidak ada panggilan STS yang dilakukan)
  • Menggunakan tombol akses sebagai input tindakan ( AssumeRole )
  • Menggunakan file token Webidentity ( AssumeRoleWithWebIdentity )
  • Menggunakan kredensial yang ada di runner Anda ( AssumeRole )

Karena kami menggunakan AWS JavaScript SDK, kami akan selalu menggunakan aliran resolusi kredensial untuk Node.js. Bergantung pada input Anda, tindakan mungkin mengganti bagian dari aliran ini.

Kami merekomendasikan menggunakan opsi pertama di atas: Penyedia OIDC GitHub. Metode ini menggunakan OIDC untuk mendapatkan kredensial berumur pendek yang diperlukan untuk tindakan Anda. Lihat OIDC untuk informasi lebih lanjut tentang cara mengatur akun AWS Anda untuk mengambil peran dengan OIDC.

Tabel berikut menjelaskan metode mana yang akan kami gunakan untuk mendapatkan kredensial Anda berdasarkan nilai mana yang disediakan untuk tindakan tersebut:

Identitas digunakan aws-access-key-id role-to-assume web-identity-token-file role-chaining Izin id-token
[✅ Disarankan] Asumsikan Peran Langsung Menggunakan Penyedia GitHub OIDC
Iam pengguna
Asumsikan Peran Menggunakan Kredensial Pengguna IAM
Asumsikan Peran Menggunakan Kredensial File Token Webidentity
Mengambil peran menggunakan kredensial yang ada

Catatan: role-chaining tidak selalu diperlukan untuk menggunakan kredensial yang ada. Jika Anda mendapatkan kesalahan "kredensial yang dimuat oleh SDK tidak cocok dengan" kesalahan, coba aktifkan opsi ini.

Opsi

Lihat Action.yml untuk lebih detail.

Pilihan Keterangan Diperlukan
AWS-Region Wilayah AWS mana yang akan digunakan Ya
Peran-ke-asume Peran untuk mengambil kredensial. Hanya diperlukan untuk beberapa jenis otentikasi. TIDAK
AWS-Access-Key-ID Kunci akses AWS untuk digunakan. Hanya diperlukan untuk beberapa jenis otentikasi. TIDAK
AWS-Secret-Access-Key Kunci rahasia AWS untuk digunakan. Hanya diperlukan untuk beberapa jenis otentikasi. TIDAK
AWS-SESI-Token Token sesi AWS untuk digunakan. Digunakan dalam skenario otentikasi yang tidak umum. TIDAK
Penyebaran peran Gunakan kredensial yang ada dari lingkungan untuk mengambil peran baru. TIDAK
hadirin Audiens JWT saat menggunakan OIDC. Digunakan dalam partisi AWS non-default, seperti daerah Cina. TIDAK
http-proxy Proxy HTTP untuk digunakan untuk panggilan API. TIDAK
Topeng-Aws-Account-ID ID akun AWS tidak dianggap rahasia. Mengatur ini akan menyembunyikan ID akun dari output. TIDAK
durasi-durasi-detik Durasi peran yang diasumsikan dalam hitungan detik, jika mengambil peran. Default hingga 1 jam. TIDAK
Eksternal Role-ID ID eksternal dari peran yang harus diasumsikan. Hanya diperlukan jika peran Anda membutuhkannya. TIDAK
nama sesi peran Default ke "githubactions", tetapi dapat diubah jika diperlukan. TIDAK
Tagging sesi-skip peran Lewati sesi penandaan jika diatur. TIDAK
kebijakan sesi inline Anda selanjutnya dapat membatasi kebijakan peran yang diasumsikan dengan mendefinisikan kebijakan inline di sini. TIDAK
Polisi-sesi terkelola Anda selanjutnya dapat membatasi kebijakan peran yang diasumsikan dengan menentukan kebijakan yang dikelola di sini. TIDAK
output-kredensial Saat diatur, output mengambil kredensial sebagai output langkah tindakan. Default ke false. TIDAK
Kredensial yang tidak terkelupas Saat diatur, upaya untuk membuka kredensial yang ada di pelari tindakan Anda. TIDAK
Nonaktifkan-Retry Logika Retry/Backoff Dinonaktifkan untuk mengambil panggilan peran. Secara default, retries diaktifkan. TIDAK
RETRY-MAX-NOMPOMTS Membatasi jumlah upaya coba lagi sebelum menyerah. Default ke 12. TIDAK
Khusus-Khusus-Kerja Jarang, beberapa lingkungan tidak dapat mentolerir karakter khusus dalam kunci rahasia. Opsi ini akan menceritakan kembali kredensial pengambilan sampai kunci akses rahasia tidak berisi karakter khusus. Opsi ini mengesampingkan nonaktifkan-retry dan retry-max-lotempts. TIDAK

Seumur Hidup Kredensial

Durasi sesi default adalah 1 jam .

Jika Anda ingin menyesuaikan ini, Anda dapat memberikan durasi ke role-duration-seconds , tetapi durasinya tidak dapat melebihi maksimum yang ditentukan ketika peran IAM dibuat.

ID eksternal

Jika peran Anda memerlukan ID eksternal untuk diasumsikan, Anda dapat memberikan ID eksternal dengan input role-external-id

Penandaan dan nama sesi

Nama sesi default adalah "Githubactions", dan Anda dapat memodifikasinya dengan menentukan nama yang diinginkan dalam role-session-name . Sesi ini akan ditandai dengan tag berikut: (Lihat dokumentasi GitHub untuk definisi variabel lingkungan GITHUB_ )

Kunci Nilai
GitHub "Tindakan"
Gudang Github_repository
Alur kerja Github_workflow
Tindakan Github_action
Aktor Github_actor
Cabang Github_ref
Melakukan Github_sha

Catatan: Semua nilai tag harus sesuai dengan persyaratan tag. Khususnya, GITHUB_WORKFLOW akan terpotong jika terlalu lama. Jika GITHUB_ACTOR atau GITHUB_WORKFLOW berisi karakter yang tidak valid, karakter akan diganti dengan '*'.

Tindakan ini akan menggunakan penandaan sesi secara default selama asumsi peran, kecuali jika Anda mengikuti rekomendasi kami dan mengambil peran dengan identitas web. Untuk asumsi peran Webidentity, tag sesi harus dimasukkan dalam token Webidentity yang dikodekan. Ini berarti bahwa tag hanya dapat dipasok oleh penyedia OIDC, dan mereka tidak dapat ditetapkan selama panggilan API AssumeroleWithWebidentity dalam tindakan tersebut. Lihat #419 untuk informasi lebih lanjut.

Anda dapat melewatkan penandaan sesi ini dengan memberikan role-skip-session-tagging yang benar dalam input aksi: 

      uses : aws-actions/configure-aws-credentials@v4
      with :
        role-skip-session-tagging : true

Kebijakan Sesi

Kebijakan sesi tidak diperlukan, tetapi mereka memungkinkan Anda untuk membatasi ruang lingkup kredensial yang diambil tanpa membuat perubahan pada peran IAM. Anda dapat menentukan kebijakan sesi inline tepat di file alur kerja Anda, atau merujuk ke kebijakan sesi terkelola yang ada oleh ARN -nya.

Kebijakan sesi inline

Kebijakan IAM dalam format JSON yang dipotong yang ingin Anda gunakan sebagai kebijakan sesi inline. Bergantung pada preferensi, JSON dapat ditulis pada satu baris seperti ini: 

      uses : aws-actions/configure-aws-credentials@v4
      with :
         inline-session-policy : ' {"Version":"2012-10-17","Statement":[{"Sid":"Stmt1","Effect":"Allow","Action":"s3:List*","Resource":"*"}]} '

Atau kita juga dapat memiliki JSON yang diformat dengan baik: 

      uses : aws-actions/configure-aws-credentials@v4
      with :
         inline-session-policy : >-
          {
           "Version": "2012-10-17",
           "Statement": [
            {
             "Sid":"Stmt1",
             "Effect":"Allow",
             "Action":"s3:List*",
             "Resource":"*"
            }
           ]
          }

Kebijakan sesi yang dikelola

Nama Sumber Daya Amazon (ARN) dari kebijakan dikelola IAM yang ingin Anda gunakan sebagai kebijakan sesi yang dikelola. Kebijakan harus ada dalam akun yang sama dengan peran tersebut. Anda dapat melewati satu kebijakan terkelola seperti ini: 

      uses : aws-actions/configure-aws-credentials@v4
      with :
         managed-session-policies : arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

Dan kita dapat melewati beberapa kebijakan yang dikelola seperti ini: 

      uses : aws-actions/configure-aws-credentials@v4
      with :
         managed-session-policies : |
          arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
          arn:aws:iam::aws:policy/AmazonS3OutpostsReadOnlyAccess

Misc

Sesuaikan mekanisme coba lagi

Anda sekarang dapat mengonfigurasi pengaturan coba lagi saat panggilan STS gagal. Secara default, kami mencoba lagi dengan backoff eksponensial 12 kali. Anda dapat menonaktifkan perilaku ini sama sekali dengan mengatur input disable-retry ke true , atau Anda dapat mengonfigurasi berapa kali ia mencoba lagi dengan input retry-max-attempts .

ID Akun Topeng

ID akun Anda tidak ditutupi secara default dalam log alur kerja karena tidak dianggap informasi sensitif. Namun, Anda dapat mengatur input mask-aws-account-id menjadi true untuk menutupi ID akun Anda dalam log alur kerja jika diinginkan.

Kredensial saat ini yang tidak disetel

Terkadang, kredensial yang ada di pelari Anda dapat menghalangi hasil yang dimaksud. Anda dapat mengatur input unset-current-credentials ke true untuk mengatasi masalah ini.

Karakter Khusus di AWS_SECRET_ACCESS_KEY

Beberapa casing tepi tidak dapat mem -parsing AWS_SECRET_ACCESS_KEY dengan benar jika berisi karakter khusus. Untuk informasi lebih lanjut, silakan lihat dokumentasi AWS CLI. Jika Anda mengatur opsi special-characters-workaround , tindakan ini akan terus menceritakan kembali kredensial mengambil sampai kita mendapatkan satu yang tidak memiliki karakter khusus. Opsi ini mengesampingkan opsi disable-retry dan retry-max-attempts . Kami menyarankan agar Anda tidak mengaktifkan opsi ini kecuali diperlukan, karena mencoba lagi API tanpa batas sampai berhasil bukanlah praktik terbaik.

Oidc

Kami merekomendasikan penggunaan penyedia OIDC GitHub untuk mendapatkan kredensial AWS berumur pendek yang diperlukan untuk tindakan Anda. Saat menggunakan OIDC, Anda mengkonfigurasi IAM untuk menerima JWT dari titik akhir OIDC GitHub. Tindakan ini kemudian akan membuat JWT unik untuk menjalankan alur kerja menggunakan titik akhir OIDC, dan itu akan menggunakan JWT untuk mengambil peran yang ditentukan dengan kredensial jangka pendek.

Untuk membuat ini bekerja

  1. Konfigurasikan alur kerja Anda untuk menggunakan id-token: write izin.

  2. Konfigurasikan audiens Anda, jika diperlukan.

  3. Di akun AWS Anda, konfigurasikan IAM untuk mempercayai penyedia identitas OIDC GitHub.

  4. Konfigurasikan peran IAM dengan batas klaim yang sesuai dan ruang lingkup izin.

    Catatan : Menamai peran Anda "Githubactions" telah dilaporkan tidak berfungsi. Lihat #953.

  5. Tentukan ARN peran itu saat mengatur tindakan ini.

Pertama, agar tindakan ini membuat JWT, file alur kerja Anda harus memiliki id-token: write Izin: 

    permissions :
      id-token : write
      contents : read

Audiens OIDC

Ketika JWT dibuat, audiens perlu ditentukan. Biasanya, Anda akan menggunakan sts.amazonaws.com , dan tindakan ini menggunakan ini secara default jika Anda tidak menentukannya. Ini akan berhasil untuk sebagian besar kasus. Mengubah audiens default mungkin diperlukan saat menggunakan partisi AWS non-default, seperti daerah Cina. Anda dapat menentukan audiens melalui input audience : 

    - name : Configure AWS Credentials for China region audience
      uses : aws-actions/configure-aws-credentials@v4
      with :
        audience : sts.amazonaws.com.cn
        aws-region : us-east-3
        role-to-assume : arn:aws-cn:iam::123456789100:role/my-github-actions-role

Mengkonfigurasi IAM untuk mempercayai GitHub

Untuk menggunakan penyedia OIDC GitHub, Anda harus terlebih dahulu mengatur federasi dengan penyedia sebagai IDP IAM. Penyedia OIDC GitHub hanya perlu dibuat sekali per akun (yaitu beberapa peran IAM yang dapat diasumsikan oleh OIDC GitHub dapat berbagi penyedia OIDC tunggal). Berikut adalah sampel templat CloudFormation yang akan mengonfigurasi kepercayaan ini untuk Anda.

Perhatikan bahwa cap jempol di bawah ini telah diatur ke semua F karena sidik jari tidak digunakan saat mengautentikasi token.actions.githubusercontent.com . Ini adalah kasus khusus yang hanya digunakan ketika OIDC GitHub mengautentikasi untuk IAM . IAM menggunakan perpustakaan CAS tepercaya untuk mengotentikasi. Nilainya masih API, jadi harus ditentukan.

Anda dapat menyalin templat di bawah ini, atau memuatnya dari sini: https://d38mtn6aq9zhn6.cloudfront.net/configure-aws-credentials-latest.yml 

 Parameters :
  GitHubOrg :
    Description : Name of GitHub organization/user (case sensitive)
    Type : String
  RepositoryName :
    Description : Name of GitHub repository (case sensitive)
    Type : String
  OIDCProviderArn :
    Description : Arn for the GitHub OIDC Provider.
    Default : " "
    Type : String
  OIDCAudience :
    Description : Audience supplied to configure-aws-credentials.
    Default : " sts.amazonaws.com "
    Type : String

Conditions :
  CreateOIDCProvider : !Equals 
    - !Ref OIDCProviderArn
    - " "

Resources :
  Role :
    Type : AWS::IAM::Role
    Properties :
      AssumeRolePolicyDocument :
        Statement :
          - Effect : Allow
            Action : sts:AssumeRoleWithWebIdentity
            Principal :
              Federated : !If 
                - CreateOIDCProvider
                - !Ref GithubOidc
                - !Ref OIDCProviderArn
            Condition :
              StringEquals :
                token.actions.githubusercontent.com:aud : !Ref OIDCAudience
              StringLike :
                token.actions.githubusercontent.com:sub : !Sub repo:${GitHubOrg}/${RepositoryName}:*

  GithubOidc :
    Type : AWS::IAM::OIDCProvider
    Condition : CreateOIDCProvider
    Properties :
      Url : https://token.actions.githubusercontent.com
      ClientIdList : 
        - sts.amazonaws.com
      ThumbprintList :
        - ffffffffffffffffffffffffffffffffffffffff

Outputs :
  Role :
    Value : !GetAtt Role.Arn

Izin klaim dan pelingkupan

Untuk menyelaraskan dengan praktik terbaik Amazon IAM dalam pemberian hak istimewa, dokumen kebijakan peran Asumsikan harus berisi Condition yang menentukan subjek ( sub ) yang diizinkan untuk mengambil peran tersebut. GitHub juga merekomendasikan penyaringan untuk audiens yang benar ( aud ). Lihat dokumentasi AWS IAM tentang klaim mana Anda dapat memfilter dalam kebijakan kepercayaan Anda.

Tanpa kondisi subjek ( sub ), pengguna atau repositori GitHub berpotensi mengambil peran tersebut. Subjek dapat dilingkupi ke organisasi GitHub dan repositori seperti yang ditunjukkan pada templat CloudFormation. Namun, melingkupinya ke org dan repo Anda dapat menyebabkan asumsi peran gagal dalam beberapa kasus. Lihat contoh klaim subjek untuk detail spesifik tentang apa nilai subjek akan tergantung pada alur kerja Anda. Anda juga dapat menyesuaikan klaim subjek Anda jika Anda ingin kontrol penuh atas informasi yang dapat Anda filter dalam kebijakan kepercayaan Anda. Jika Anda tidak yakin apa kunci subjek ( sub ) Anda, Anda dapat menambahkan tindakan actions-oidc-debugger ke alur kerja Anda untuk melihat nilai kunci subjek ( sub ), serta klaim lainnya.

Kondisi klaim tambahan dapat ditambahkan untuk spesifisitas yang lebih tinggi seperti yang dijelaskan dalam dokumentasi GitHub. Karena detail implementasi, tidak setiap klaim OIDC saat ini didukung oleh IAM.

Informasi lebih lanjut tentang OIDC

Untuk informasi lebih lanjut tentang tindakan OIDC dan GitHub, silakan lihat:

  • AWS Docs: Membuat Penyedia Identitas OpenID Connect (OIDC)
  • AWS Docs: IAM JSON Policy Elements: Kondisi
  • GitHub Docs: Tentang Pengerasan Keamanan dengan OpenID Connect
  • GitHub Docs: Mengkonfigurasi OpenID Connect di Amazon Web Services
  • Github Changelog: Tindakan GitHub: Penyebaran Cloud Aman dengan OpenID Connect

Pelari yang diselenggarakan sendiri

Jika Anda menjalankan tindakan github Anda dalam pelari yang diselenggarakan sendiri yang sudah memiliki akses ke kredensial AWS, seperti instance EC2, maka Anda tidak perlu memberikan kredensial kunci akses pengguna IAM untuk tindakan ini. Kami akan menggunakan metode resolusi kredensial AWS JavaScript SDK standar untuk menemukan kredensial Anda, jadi jika AWS JS SDK dapat mengautentikasi pada pelari Anda, tindakan ini juga akan.

Jika tidak ada kredensial kunci akses yang diberikan dalam input tindakan, tindakan ini akan menggunakan kredensial dari lingkungan runner menggunakan metode default untuk AWS SDK untuk JavaScript.

Anda dapat menggunakan tindakan ini untuk sekadar mengonfigurasi wilayah dan ID akun di lingkungan, dan kemudian menggunakan kredensial pelari untuk semua panggilan API AWS yang dibuat oleh alur kerja tindakan Anda: 

 uses : aws-actions/configure-aws-credentials@v4
with :
  aws-region : us-east-2

Dalam hal ini, kredensial pelari Anda harus memiliki izin untuk memanggil API AWS yang dipanggil oleh alur kerja tindakan Anda.

Atau, Anda dapat menggunakan tindakan ini untuk mengambil peran, dan kemudian menggunakan kredensial peran untuk semua panggilan API AWS yang dibuat oleh alur kerja tindakan Anda: 

 uses : aws-actions/configure-aws-credentials@v4
with :
  aws-region : us-east-2
  role-to-assume : my-github-actions-role

Dalam hal ini, kredensial pelari Anda harus memiliki izin untuk mengambil peran.

Anda juga dapat mengambil peran menggunakan file token identitas web, seperti jika menggunakan Amazon Eks IRSA. Pod yang berjalan di node pekerja EKS yang tidak berjalan sebagai root dapat menggunakan file ini untuk mengambil peran dengan identitas web.

Konfigurasi proxy

Jika perlu menggunakan proxy HTTP, Anda dapat mengaturnya dalam aksi secara manual.

Selain itu tindakan ini akan selalu mempertimbangkan variabel lingkungan HTTP_PROXY .

Proxy yang dikonfigurasi secara manual: 

 uses : aws-actions/configure-aws-credentials@v4
with :
  aws-region : us-east-2
  role-to-assume : my-github-actions-role
  http-proxy : " http://companydomain.com:3128 "

Proxy yang dikonfigurasi dalam variabel lingkungan: 

 # Your environment configuration
HTTP_PROXY= " http://companydomain.com:3128 "

Gunakan dengan AWS CLI

Alur kerja ini tidak menginstal AWS CLI ke lingkungan Anda. Pelari yang diselenggarakan sendiri yang berniat menjalankan tindakan ini sebelum menjalankan perintah aws perlu menginstal AWS CLI jika belum ada. Sebagian besar lingkungan pelari yang di -host GitHub harus mencakup AWS CLI secara default.

Contoh

AssumeoleWithWebidentity (disarankan) 

    - name : Configure AWS Credentials
      uses : aws-actions/configure-aws-credentials@v4
      with :
        aws-region : us-east-2
        role-to-assume : arn:aws:iam::123456789100:role/my-github-actions-role
        role-session-name : MySessionName

Dalam contoh ini, tindakan akan memuat token OIDC dari variabel lingkungan yang disediakan GitHub dan menggunakannya untuk mengambil peran arn:aws:iam::123456789100:role/my-github-actions-role dengan nama sesi MySessionName .

Assumerole dengan peran yang sebelumnya diasumsikan oleh tindakan dalam alur kerja yang sama 

    - name : Configure AWS Credentials
      uses : aws-actions/configure-aws-credentials@v4
      with :
        aws-region : us-east-2
        role-to-assume : arn:aws:iam::123456789100:role/my-github-actions-role
        role-session-name : MySessionName
    - name : Configure other AWS Credentials
      uses : aws-actions/configure-aws-credentials@v4
      with :
        aws-region : us-east-2
        role-to-assume : arn:aws:iam::987654321000:role/my-second-role
        role-session-name : MySessionName
        role-chaining : true

Dalam contoh dua langkah ini, langkah pertama akan menggunakan OIDC untuk mengambil peran arn:aws:iam::123456789100:role/my-github-actions-role seperti pada contoh sebelumnya. Setelah itu, langkah kedua akan menggunakan peran ini untuk mengambil peran yang berbeda, arn:aws:iam::987654321000:role/my-second-role .

Assumerole dengan kredensial IAM statis dalam rahasia repositori 

    - name : Configure AWS Credentials
      uses : aws-actions/configure-aws-credentials@v4
      with :
        aws-access-key-id : ${{ secrets.AWS_ACCESS_KEY_ID }}
        aws-secret-access-key : ${{ secrets.AWS_SECRET_ACCESS_KEY }}
        aws-region : us-east-2
        role-to-assume : ${{ secrets.AWS_ROLE_TO_ASSUME }}
        role-external-id : ${{ secrets.AWS_ROLE_EXTERNAL_ID }}
        role-duration-seconds : 1200
        role-session-name : MySessionName

Dalam contoh ini, rahasia AWS_ROLE_TO_ASSUME berisi string seperti arn:aws:iam::123456789100:role/my-github-actions-role . Untuk mengambil peran dalam akun yang sama dengan kredensial statis, Anda dapat dengan mudah menentukan nama peran, seperti role-to-assume: my-github-actions-role .

Mengambil kredensial dari output langkah, Assumerole dengan kredensial sementara 

    - name : Configure AWS Credentials 1
      id : creds
      uses : aws-actions/configure-aws-credentials@v4
      with :
        aws-region : us-east-2
        role-to-assume : arn:aws:iam::123456789100:role/my-github-actions-role
        output-credentials : true
    - name : get caller identity 1
      run : |
        aws sts get-caller-identity
    - name : Configure AWS Credentials 2
      uses : aws-actions/configure-aws-credentials@v4
      with :
        aws-region : us-east-2
        aws-access-key-id : ${{ steps.creds.outputs.aws-access-key-id }}
        aws-secret-access-key : ${{ steps.creds.outputs.aws-secret-access-key }}
        aws-session-token : ${{ steps.creds.outputs.aws-session-token }}
        role-to-assume : arn:aws:iam::123456789100:role/my-other-github-actions-role
    - name : get caller identity2
      run : |
        aws sts get-caller-identity

Contoh ini menunjukkan bahwa Anda dapat merujuk kredensial yang diambil sebagai output jika output-credentials diatur ke true. Contoh ini juga menunjukkan bahwa Anda dapat menggunakan input aws-session-token dalam situasi di mana token sesi diambil dan diteruskan ke tindakan ini.

Ringkasan Lisensi

Kode ini tersedia di bawah lisensi MIT.

Pengungkapan Keamanan

Jika Anda ingin melaporkan masalah keamanan potensial dalam proyek ini, jangan membuat masalah GitHub. Sebagai gantinya, silakan ikuti instruksi di sini atau email keamanan AWS secara langsung.

Memperluas
Informasi Tambahan
Aplikasi Terkait
Direkomendasikan untuk Anda
Informasi Terkait Semua